Rincian telah diungkapkan tentang kerentanan kritis yang sekarang ditangani dalam layanan Microsoft yang dapat mengizinkan akses tidak sah ke akun pelanggan Azure lainnya dan mengambil alih kendali.
"Serangan ini bisa berarti kontrol penuh atas sumber daya dan data milik akun yang ditargetkan, tergantung pada izin yang diberikan oleh pelanggan," kata peneliti Orca Security Yanir Tsarimi sebuah laporan yang diterbitkan Senin.
Cacat tersebut berpotensi menempatkan beberapa entitas dalam risiko, termasuk perusahaan telekomunikasi yang tidak disebutkan namanya, dua produsen mobil, konglomerat perbankan, dan empat firma akuntansi besar, antara lain, perusahaan keamanan infrastruktur cloud Israel menambahkan.
Layanan Azure Automation otomatisasi proses, manajemen konfigurasi, dan penanganan pembaruan sistem operasi dalam jendela pemeliharaan yang ditentukan di seluruh lingkungan Azure dan non-Azure.
Dijuluki " AutoWarp ," masalah ini memengaruhi semua pengguna layanan Otomatisasi Azure yang mengaktifkan fitur Perlu dicatat bahwa fitur ini diaktifkan secara default. Setelah pengungkapan yang bertanggung jawab pada 6 Desember 2021, masalah tersebut diperbaiki dalam patch yang didorong pada 10 Desember 2021.
"Akun Azure Automation yang menggunakan token Managed Identities untuk otorisasi dan Azure Sandbox untuk runtime dan eksekusi pekerjaan terungkap," kata Microsoft Security Response Center (MSRC) dalam sebuah pernyataan "Microsoft belum mendeteksi bukti penyalahgunaan token."
Sementara pekerjaan otomatisasi dirancang untuk diisolasi melalui kotak pasir untuk mencegah akses oleh kode lain yang berjalan di mesin virtual yang sama, kerentanan memungkinkan aktor jahat yang menjalankan pekerjaan di Azure Sandbox untuk mendapatkan token otentikasi dari orang lain. pekerjaan otomatisasi.
"Seseorang dengan niat jahat dapat terus-menerus mengambil token, dan dengan setiap token, memperluas serangan ke lebih banyak pelanggan Azure," kata Tsarimi.
Pengungkapan ini dilakukan hampir dua bulan setelah Amazon Web Services (AWS) memperbaiki dua kerentanan dijuluki dan di platform AWS Glue dan CloudFormation yang dapat disalahgunakan untuk mengakses data pelanggan AWS Glue lain dan membocorkan file sensitif.
Pada Desember 2021, Microsoft juga mengatasi kelemahan keamanan lain di Azure App Service yang mengakibatkan terbukanya kode sumber aplikasi pelanggan yang ditulis dalam Java, Node, PHP, Python, dan Ruby setidaknya selama empat tahun sejak September 2017.